Forbes acaba de descubrir que no todo reconocimiento es bienvenido.
La publicación detrás de la lista anual 30 Under 30, que Forbes llama “la lista definitiva de jóvenes que están cambiando el mundo”, está recibiendo notoriedad después de que uno de sus premiados descubriera que el sitio expuso una década de datos privados. Jane Manchun Wong, una investigadora de seguridad e investigadora de seguridad 30 Under 30 reconocida en 2022 (entre otras cosas) por su capacidad para encubrir funciones ocultas en aplicaciones, dijo que la lista de Forbes expuso los correos electrónicos y las fechas de nacimiento de todos los premiados, tanto pasados como presentes.
“Descubrí una exposición de datos personales en Forbes 30 Under 30 Directory mientras buscaba mi entrada, incluidos ~ 4000 correos electrónicos y ~ 7000 fechas de nacimiento de los homenajeados en los últimos 10 años”. ella escribió el viernes.
Wong explicó a través de Twitter DM que descubrió la exposición el 2 de diciembre y notificó a Forbes de inmediato. Ella dijo que Forbes nunca respondió directamente a su revelación.
“No obtuve ninguna respuesta de Forbes con respecto a la redacción de esta exposición de datos”, escribió. “Tampoco verifiqué con frecuencia cuándo se resolvió. Pero a partir de hoy, cuando revisé la página web del directorio, la exposición de datos se resolvió”.
Nos comunicamos con Forbes para confirmar las declaraciones de Wong, tanto sobre la exposición en sí como sobre el hecho de que Forbes no respondió a su revelación.
“Forbes recibió una alerta de que había información procesada en lo profundo de JavaScript”, respondió un portavoz. “Cuando nos notificaron, tomamos medidas inmediatas y corregimos el problema rápidamente. Hasta donde sabemos, nadie más accedió a los datos “.
Que la lista de Forbes es, por definición, una colección de personas notables; los homenajeados anteriores incluyen a Miley Cyrus y al fundador de Ethereum, Vitalik Buterin, por ejemplo. – hace que este tipo de incidentes sea aún más problemático. Los correos electrónicos personales expuestos, junto con los cumpleaños, abren a las personas a campañas de phishing específicas.
El ‘caso de uso asesino’ de Mark Zuckerberg para el metaverso es tonto como el infierno
“Los datos personales eran de acceso público antes de que los arreglaran”, explicó Wong por DM. “Así que otras personas además de mí podrían haber accedido. Aunque espero que nadie con mala fe haya accedido”.
Si alguien menos responsable que Wong realmente accedió a esos datos, entonces los homenajeados 30 Under 30 pronto recibirán algo más que elogios.
ACTUALIZACIÓN: 10 de diciembre de 2021, 12:38 pm PST La historia se actualizó para incluir comentarios de un portavoz de Forbes.
